Hallo liebe Community.
Mein wordfence meldet seit 2 Tagen eine kritische Sicherheitslücke im Podlove Web Player.
Installiert habe ich 5.9.1
Weiß jemand mehr? 
Ist das ein Fehlalarm?
Kannst Du den genauen Wortlaut posten, den wordfence Dir meldet? Vielleicht hilft das dem Podlove Team da genauer hinzuschauen…
Ein Post drüben bei Podlove berichtet auch davon.
Da ist der folgende Verweis mit drin:
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/podlove-web-player/podlove-web-player-591-missing-authorization
2 „Gefällt mir“
@ericteubert hatte dazu auf unserem Discods-Server im September informiert: “Da wird ein API Endpunkt (/wp-json/podlove-web-player/options) beanstandet, dass er öffentlich ist. Aber der ist bewusst öffentlich.” Ist also nicht kritisch, eher eine Fehlmeldung. Die zu entfernen ist aber zeitaufwändig – wir sind dran.
4 „Gefällt mir“
Könntet ihr bitte eine etwas detaillierte Erklärung liefern, sodass diese auch nachvollziehbar ist?
Nach den letzten Problemen würde das wirklich zum Vertrauen in das Projekt beitragen!
An einem konkreten Beispiel: Es wird bemängelt, dass folgende Daten ohne Authentifizierung abrufbar sind: https://backend.podlovers.org/wp-json/podlove-web-player/options
Das ist ein bewusst von uns so gebautes Feature, diese Player-Einstellungen öffentlich zugängig zu machen, um damit z.B. selbst Frontends programmieren zu können. Keine der darin enthaltenen Daten sind geheim, vertraulich, schützenswert etc.
2 „Gefällt mir“
Danke das war hilfreich und beruhigend! Es hätte auch gereicht wenn Martin den Link auf euren Discord Thread gemacht hätte!
Hatte ich überlegt, aber da hat ja nicht jeder Zugang, daher habe ich das hier zusammengefasst.
Fehlalarm behoben. WordFence hat den Eintrag aus ihrer Datenbank entfernt.
2 „Gefällt mir“
Top, danke! 
Danke für die schnelle Lösung! 